长亭科技×蜚语科技：AI代码安全的“攻防同盟”正式出道！

长亭 X 港塔

随着大模型进入爆发式发展阶段，生成式AI正在以前所未有的速度改变软件开发方式。开发者们欣喜地发现，只需用自然语言描述需求，AI就能快速生成功能完整的代码。然而，在这场追求性能的高速竞赛中，代码安全性这一关键问题却被严重忽视。

业界将大部分注意力集中在提升代码的功能正确性和语法准确性上，已经顾不上关心生成代码是否存在安全漏洞。对此，国际知名安全厂商VERACODE在其发布的《2025 GenAI Code Security Report》中进行了一项具有重要意义的研究。该报告通过80个精心设计的编码任务，全面评估了近两年发布的100个大语言模型的代码安全性。

研究结果令人震惊：

安全代码生成率堪忧仅有55%的任务生成了安全的代码，这意味着在近一半（45%）的编码任务中，AI模型都会向代码中引入已知的安全缺陷。这个数据揭示了一个残酷的现实：使用AI生成的代码，接近一半的概率会包含安全漏洞。
功能与安全发展失衡报告显示，近两年来模型在生成语法正确代码方面的能力显著提升，但安全性水平却长期停滞不前。这种发展的不平衡，反映了整个行业对功能性的过度关注和对安全性的相对忽视。
模型规模与安全性误区令人意外的是，大型模型在代码安全性方面并没有比小型模型表现更好。这打破了"模型越大越安全"的常见误解，表明简单的模型扩展并不能解决根本的安全问题。

AI生成代码存在已知安全缺陷的概率高达45%

为什么大模型的编码能力提升，而安全性却难以突破？

大模型编码能力的快速提升，得益于功能正确性是一个相对明确且可量化的目标，且有明确的语法规则。相比之下，代码安全性是一个模糊、复杂且高度依赖上下文的概念。

这种明确性使得模型训练有了清晰的优化方向，可以轻松构建大量的"问题-正确答案"训练对，让模型通过海量样本学习什么是"功能正确"的代码。

但大模型的训练数据来源于互联网上的海量代码库，包括GitHub、StackOverflow等平台。这些数据源中存在一个致命问题：大量代码本身就包含安全漏洞。

当模型基于这些包含漏洞的数据进行训练时，不可避免地就会学习了这些不安全的编码模式。更糟糕的是，针对部分漏洞靶站代码仓库，模型无法区分这些代码是"正确功能"还是"安全反例"，全盘收入囊中。

传统的软件安全测试体系，已经不能给AI大模型编码兜底

测试效率已跟不上飞驰的AI生成效率：AI大模型几秒钟就能生成大量代码，而传统安全测试依赖人工审查和固定环节检测，处理速度与AI生成速度存在数量级差异。当开发者使用AI快速迭代时，安全测试已被远远甩开，成为严重瓶颈。
误报和漏报随着AI代码生成速度被放大：传统安全测试工具SAST、SCA等，本身就存在误报和漏报问题，AI代码的高产出量更将这一问题成倍放大——大量误报消耗团队精力，而关键漏报则被快速集成到代码库中，形成安全债务的快速积累，安全隐患持续加深。

随着问题的严重性，国际知名大模型厂商已经开始关注代码安全问题并采取实际行动。Anthropic最近发布了自动化安全审查工具claude-code-security-review，这是一个基于GitHub Action的AI驱动安全审查工具，使用Claude来分析代码变更中的安全漏洞。该功能旨在标准化开发团队的安全审查流程，防止不安全的代码进入生产环境，并能与现有CI/CD管道集成。Snyk推出了DeepCode AI和Agent Fix功能，帮助开发和安全团队确保AI生成和人工编写的代码都能符合安全性要求。

长亭X蜚语:让安全开发进入智能时代

面对上述AI编码中的安全问题，长亭科技和蜚语科技，两个从顶级CTF赛场走向产业前沿的技术团队，两家同样流淌着攻防血液的技术型企业，正式达成战略合作，共同瞄准下一代AI代码安全的关键命题。

长亭科技：知攻善防，智能安全

长亭科技创始团队来自知名网络安全战队清华“蓝莲花”战队，取得了从竞赛到实战、从国家到地方的攻防大满贯战绩，被评为“最了解攻击的防守队伍”，近年来在AI自身安全、AI赋能安全、AI原生应用、AI安全开发等方向均有布局。

前不久，在上海的世界人工智能大会（WAIC 2025）上，长亭科技发布了开源的企业级 AI Coding 神器：MonkeyCode，为全球开发者提供了一款智能又安全的编码利器，不仅写代码聪明，更能把安全能力内置在每一行AI生成的代码中。

蜚语科技：深谙代码风险的“智能守护者”

蜚语科技创始团队孵化自上海交通大学计算机系，同样成长于网络安全顶级赛场，团队曾获上海市科技进步一等奖和多个国内外安全竞赛冠军。

蜚语科技以人工智能与程序分析技术为核心，深耕代码安全多年，练就了一身静态分析、漏洞追踪的“内功”。不管是传统代码还是AI生成的代码，其风险都难逃它的法眼。

当长亭科技和蜚语科技“双剑合璧”，网络安全先锋牵手代码安全专家，一个擅长“AI+安全”的深度融合与产品化，一个擅长从代码底层捕捉风险。双方共同奔赴国家AI安全战略的主赛道，AI驱动的新一代智能安全开发方案就此诞生。

从开发到部署，从人工编写到AI生成，开发者们从此有了更可靠的安全底座。

从 MonkeyCode到智能安全开发体系

目前，开源的MonkeyCode，以及新一代的智能静态应用程序安全测试系统“慧鉴”已经面世，迅速获得了广大开发者的高度关注和积极反馈。

作为长亭科技在AI Coding领域的明星产品，MonkeyCode不仅在功能性方面表现出色，更在业界率先关注AI代码生成的安全性问题。

MonkeyCode即将发布全新的安全能力模块，进一步强化其在AI安全编程领域的领先地位。

实时防护：MonkeyCode突破传统"先编码后检测"局限，实现边写边检

MonkeyCode突破了传统"先编码后检测"的局限，能够在开发者编写代码的过程中进行实时安全扫描。这种"边写边检"的工作模式，让安全检测真正融入到日常开发流程中，而不再是“亡羊补牢”。

面对检测出的安全漏洞，MonkeyCode提供了业界领先的智能化一键修复功能。这不仅仅是简单的代码替换，而是基于对代码上下文理解与安全知识库相结合的智能修复。

这一能力的提升，更像是每位开发者身边的配备了一位智能安全专家。标志着"安全左移"理念的进一步落地。它让安全不再是开发完成后的"额外负担"，而是贯穿整个编码过程的"内生能力"。

除了面向广大开发者群体的开源MonkeyCode，长亭科技即将在慧鉴（AI-SAST）产品基础上，面向金融、通信、能源、互联网、政务、先进制造等重要行业，推出“码力”智能开发与安全一体化平台。

“码力”深度融合智能编码与安全能力，通过与企业代码仓库及研发平台的无缝对接，为企业提供了集智能代码生成与补全、全自动AI工程师、智能扫描与修复于一体的安全开发解决方案，全面覆盖AI辅助编程及Coding-Agent全自动编程等多种场景的开发与安全需求，实现从“开发-扫描-修复”全流程的智能闭环。

未来，长亭和蜚语将深入合作，围绕智能代码生成、漏洞自动修复、合规智能体、供应链安全评估等方向持续推出解决方案，为企业构建更安全、更高效、更智能的AI原生开发体系。

结束语

当前，AI代码安全已不再仅是技术问题，更是软件供应链安全和数字基础设施安全的核心环节。在国际科技竞争加剧的背景下，实现AI编码工具的自主可控与安全可靠，具有明确的战略意义。

长亭与蜚语的这一合作，正是中国前沿科技企业在AI安全领域主动出击、共建防御体系的重要标志。他们从攻防中成长，也正在回馈安全的本源——让AI时代的代码，更安全、更可信，让安全开发进入智能原生时代。

相信不久的将来，开发者使用AI工具编程时，不再需要担心隐藏的安全漏洞；企业的软件供应链，不再因AI生成代码的不可控而变得脆弱不堪。

长亭+蜚语，正在推动AI时代安全开发范式的转型，打造“AI+安全”自主可控的中国方案。

在AI驱动的软件开发新时代，速度与安全并非对立选项，长亭科技与蜚语科技的合作正印证了这一点——真正的技术突破，是让高效开发与安全防护能够并行不悖。